[주말판] 사이버 보안을 어렵게 만드는 요인 4가지

보안 분야는 좋지 않은 미래를 앞두고 있다. 암울한 예측을 할 수밖에 없게 하는 요인들이 산적해 있기도 하다. 그렇기에 희망을 찾기 위해서는 조금은 ‘헤치며 나아가는’ 행위가 필요하다. 결국 필요한 변화가 무엇이냐를 알아내는 것보다, 그 변화를 실행해갈 의지가 있느냐의 문제다.

[보안뉴스 문정후 기자] 미국 사이버 보안 전담 기구인 CISA의 전 국장 크리스 크렙스(Chris Krebs)가 얼마 전 열린 세계적인 보안 행사 블랙햇(Black Hat USA 2022)에서 “앞으로 보안 분야 전망은 심히 어둡다”고 발표해 현장에 모인 보안 전문가들을 놀라게 했다. 크렙스는 자리를 빌어 보안 분야에 세 가지 질문을 던졌다. 현재 우리의 상태를 나쁘다고 보는 이유는 무엇인가? 왜 더 나빠질 거라고 보는가? 상황을 바꾸기 위해 우리가 할 수 있는 일은 무엇인가?

[이미지 = utoimage]

우리의 상태를 나쁘다고 보는 이유는 무엇인가?
크렙스는 오늘 날의 사이버 보안 분야를 어렵게 만드는 네 가지 요인들을 짚었다. 바로 기술, 위협 행위자, 정부, 인력이 바로 그것이라고 그는 주장했다.

1. 기술 : 크렙스는 “보안은 기술 발전과 혁신의 저해 요소로 인식되고 있다”고 강조했다. 그러면서 기능성과 생산성에 대한 관심은 어마어마하게 높은 상황이라고 그는 밝혔다. “현재 개발되는 소프트웨어들 중 취약점 없는 것이 없습니다. 그 이유는 보안을 귀찮게 여기고, 신기능에만 집중을 하는 경향에서 찾을 수 있습니다. 시장에 제일 먼저 출시하는 것에 사활을 거니, 조금 시간을 늦추더라도 보안에 집중하는 사례는 전혀 찾을 수 없습니다.”

코로나 때문에 도입 속도가 크게 높아진 클라우드라는 기술에 대해서도 그는 언급했다. “클라우드라는 기술이 주는 장점들은 분명합니다. 하지만 클라우드의 단점 역시 확실합니다. 투명성을 저해하고 네트워크를 더 복잡하게 만들죠. 둘 다 보안에 있어서는 치명적인 특징입니다. 그런 기반 위에 새로운 기능들과 서비스를 탑재하는데, 취약 요소들만 늘어나는 꼴입니다. 새로운 것들이 올라탄다는 것 자체가 네트워크를 더 복잡하게 만드는 것이기도 하고요.”

2. 공격자들 : 제품과 서비스는 점점 복잡해지고 용례도 계속해서 늘어나면서 공격의 통로 역시 다양해지고 있다. 사이버 범죄자들은 이러한 공격 통로들을 빠짐없이 자신들의 수익 창출의 도구로 이용하고 있다. 이들의 변화무쌍함 때문에 보안 역시 한 번의 방어 성공에 안주하지 못하고, 꾸준한 성공을 추구해야 하며, 항상 변해야 한다. 이는 보안 담당자들에게 큰 부담으로 다가온다.

3. 정부 : 미국 정부는 규제와 혁신의 균형을 적절히 맞추기 위해 고심을 하고 있으며, 여러 가지를 시험적으로 진행한다고 크렙스는 발표했다. 하지만 아직까지는 규제를 통해 보안과 혁신을 다잡았다고 말하기 힘든 상황인 것 역시 분명하다고 주장했다. “성능과 효과를 기반으로 한 것이 아니라, 체크리스트 유형의 규제가 지나치게 많습니다. 기계처럼 규제를 적용하는 것이죠. 그러다 보니 실제 현장의 상황은 반영되지 않고, 효과가 적죠.”

4. 인력 : 사이버 보안 업계는 심각한 인력난에 시달리고 있다고 그는 강조했다. “사이버 보안이라는 측면에서의 리스크와 사업성이라는 측면에서의 리스크가 매우 밀접하게 연관되어 있다는 걸 이해하는 CEO들은 매우 적습니다. 이론 상으로는 알고 있을지는 모르겠지만, 그것을 실제로 받아들이고 사업 운영에 반영하는 사례는 정말 찾기 힘들다는 것이죠. 이를 위해서 더 많은 보안 교육과 인력의 다양화가 필요합니다. 더 많은 부류의 사람들에게 업계의 문을 열어야 합니다.”

더 나빠질 것인가?
크렙스는 현장에서 네트워크 분야 리더들에게 질문을 던졌다. 정보보안 상황을 장기적 혹은 단기적으로 어떻게 보느냐고 말이다. 단기적 상황에 대하여 청중들은 ‘하락세’라는 식으로 답했고, 장기적 상황에 대해서는 ‘상승세’라고 말했다. 단기적으로 보안 업계에 희망이 없다고 보는 이유는 앞으로 더 많은 것들이 네트워크에 연결되게 될 것이며, 이 때문에 망은 계속해서 복잡해질 것이기 때문이었다. “이 문제를 테크놀로지 기업들이 다루고는 있습니다만, 그 속도가 너무 느립니다.” 크렙스의 설명이다.

보안 솔루션 개발 업체들은 이러한 상황을 인지하고 대책 마련에 몰두하고 있다. 시장에 더 나은 솔루션들과 방법론이 등장하는 것도 사실이다. “하지만 공격자들이 너무나 쉽게 우리가 애써 고안한 해결책들을 무력화시킵니다. 공격은 계속 성공하고 있고, 그들의 주머니는 두터워져 가고 있습니다. 의미 있는 변화를 일으키고, 그들 편에서 상당한 대가를 지불하게 만들지 않는 이상, 공격자들의 악행은 증가할 것입니다.”

그러면서 크렙스는 정부가 ‘기술과 정책의 관계’를 다시 한 번 정립해야 한다고 촉구했다. “지난 25년 동안 테크노롤지 분야는 상상 이상으로 변했고, 우리의 삶도 크게 변화시켰습니다. 하지만 그 시간 동안 정부는 속도를 거의 맞추지 못했습니다. 저는 이 내용을 증빙할 자료를 충분히 가지고 있고, 어떤 정부 요원들과도 이 문제에 대하여 대화할 수 있습니다.”

물론 정부 단계에서 정책을 변화시키고 사회에 안착시키려면 충분한 시간이 필요하다는 걸 그도 알고 있다. “콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건 때문에 많은 관련 분야 정책 입안자들이나 기업 지도자들이 경각심을 갖게 되고 사이버 보안의 중요성을 인식하게 되었습니다. 하지만 아직 그 정도가 충분치 않습니다. 왜냐하면 아직도 연도 단위의 보완 계획을 세우고 있거든요. 장기적으로 움직여야 한다고 하는데, 지나치게 장기적이에요. 연 단위가 아니라 분기 단위의 계획을 수립하고 이행해야 할 때입니다.”

그러면 보안을 어떻게 향상시켜야 하는가?
즉, 오늘날의 보안 관련 상황은 안 좋은 것들로만 가득하다고 볼 수 있다. 뛰어넘어야 할 장애가 많다. 하지만 크렙스는 절망을 전파하려고 그 자리에 서 있는 것이 아니라고 말했다. 다만 극복을 위해 할 수 있는 일을 하려는 계획과 의지가 우리에게 있느냐가 중요한 문제라고 그는 강조했다. “기술 기업이라면 새 제품과 기능을 만드는 것 이상으로 완전하고 안전한 제품/서비스 완성에 집중해야 합니다. 또한 직면한 문제를 해결해가며 저변에 갈린 근원들도 파헤칠 수 있어야 합니다. 매우 귀찮은 일들이죠. 그 귀찮음을 극복해야 한다는 겁니다.”

그 다음 크렙스는 시간을 오래 들이는 장기 수사를 보다 공격 방해와 지장을 위주로 한 방향으로 전환할 필요가 있다고 강조했다. “보복 해킹을 하자는 게 아니라, 공격에 들어가는 비용을 높이자는 것입니다. 예를 들어 최근 사이버 범죄자들이 사용하는 믹서 서비스인 토네이도 캐시(Tornado Cash)가 제재 대상으로 선정된 것을 말하는 것이죠. 아주 바람직한 방향이라고 생각합니다.”

정부의 움직임에 대하여 크렙스는 보안 전담 기관인 CISA에 꾸준한 투자를 하는 건 매우 긍정적인 움직임이라고 짚었다. 하지만 아직 충분치 않다는 게 그의 주장이다. “CISA가 다른 정부 기관들과 보다 원활하게 활동할 수 있는 제도적 기반을 마련하는 일이 더 진행되어야 합니다. 다른 정부 기관들 혹은 연방 기관들과의 연계 활동이 지금보다 더 간단하고 쉬워질 필요가 있습니다.”

사이버 인력난에 대하여서도 그는 그리 절망적이지 않았다. “물론 인력난이 지금은 심각합니다. 심지어 대학이나 공교육 과정에 보안이 아직 널리 도입되지도 않고 있죠. 하지만 저는 그리 부정적으로 보지 않는 게, 사회로 진출하는 젊은 청년들이 점점 기술이라는 것 자체에 능숙해져 가기 때문입니다. 테크와 관련해서 많은 내용들을 자연스럽게 배우고 터득하는 게 요즘 사람들이죠. 그래서 앞으로 보안 인력 확보가 조금씩 더 쉬워질 거라고 봅니다.”

크렙스는 지나친 긍정주의에도 경각심을 가져야 한다고 하며 마무리를 지었다. “긍정적으로 미래를 본다고 해서 지금 이대로 가면 업계나 정부가 알아서 좋은 방향으로 변할 거라고 본다는 뜻은 아닙니다. 변화의 동력이 작동해야만 하고, 그 동력은 우리 ‘사용자’ 혹은 ‘소비자’가 되어야 합니다. 보안 커뮤니티 역시 할 일이 많죠. 변화할 수는 있는데, 그러려면 그 변화를 위한 의지와 실천이 꼭 필요한 것이 지금 보안 업계의 상황입니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)